Özet

Etkileşimli oturum açma senaryolarda kimlik doğrulama mekanizması güvencesi (AMA) nasıl anlatılmaktadır.

Giriş

Sertifika tabanlı oturum açma yöntemini kullanarak oturum açma sırasında kullanıcının kimlik bilgileri doğrulanır, AMA bir yönetici tarafından belirlenmiş, evrensel grup üyeliği bir kullanıcının erişim işaretine ekler. Bu dosyalar, klasörler ve yazıcılar gibi kaynaklara erişimi denetlemek amacıyla ağ kaynak yöneticileri için olanak sağlar. Bu erişim olup sertifika tabanlı oturum açma yöntemi ve oturum açmak için kullanılan sertifika türünü kullanarak kullanıcı oturum açtığında dayanır.

Bu makalede

Bu makalede iki sorun senaryo üzerinde odaklanır: oturum açma/kapatma ve kilitleme ve kilidini. AMA bu senaryolarda davranışını "tasarım gereği" ise ve şu şekilde özetlenebilir:

  • AMA ağ kaynaklarını korumak için tasarlanmıştır.

  • AMA tanımlamak ne kullanıcının yerel bilgisayarda etkileşimli oturum açma türü (akıllı kart veya kullanıcı adı/parola) zorla. Bir etkileşimli kullanıcı oturum açma işleminden sonra erişilebilir kaynakları güvenilir AMA kullanılarak korunamaz olmasıdır.

Belirtiler

Sorun Senaryo 1 (oturum açma/oturum kapatma)

Aşağıdaki senaryoyu düşünün:

  • Yönetici (SC) akıllı kart oturum açma kimlik doğrulaması kullanıcıların belirli güvenlik açısından duyarlı kaynaklara erişirken zorlamak istiyor. Bunu yapmak için kullanılan akıllı kart sertifikaları verme ilkesi nesne tanımlayıcısı için Windows Server 2008 R2 adım adım Kılavuzu'nda AD DS için kimlik doğrulama mekanizması güvencesi göre AMA yönetici dağıtır.

    Not: Bu makalede, biz bu yeni eşleştirilen gruba "akıllı kart Evrensel güvenlik grubu." bakın

  • "Etkileşimli oturum açma: Akıllı kart gerektir" ilkesi istasyonlarında etkin değildir. Bu nedenle, kullanıcılar kullanıcı adı ve parola gibi diğer kimlik bilgilerini kullanarak oturum açabilir.

  • Yerel ve ağ kaynağı erişimi gerektirir Akıllı Kart evrensel bir güvenlik grubu.

Bu senaryoda, akıllı kart kullanarak oturum açtıktan bu yalnızca kullanıcının yerel erişim ve ağ kaynaklarını beklersiniz. İş istasyonu oturum açma en iyi duruma getirilmiş ve önbelleğe izin verdiğinden, ancak önbelleğe alınan Doğrulayıcı oturum açma sırasında kullanıcının masaüstü için NT erişim belirtecini oluşturmak için kullanılır. Bu nedenle, güvenlik grupları ve önceki oturum açma talepleri yerine geçerli olanı kullanılır.



Senaryo örnekleri

Not: Bu makalede, grup üyeliği için etkileşimli oturum açma seansları "whoami/gruplar." kullanılarak alınır Bu komut masaüstünün erişim belirtecinden grupları ve talepleri alır.

  • Örnek 1

    Akıllı kart kullanarak oturum açma önceki yapılmışsa, Masaüstü için erişim belirteci AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu vardır. Aşağıdaki sonuçlar ortaya çıkar:

    • Akıllı kart kullanarak oturum açan kullanıcı: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarılı.

    • Kullanıcı adı ve parola kullanarak oturum açan kullanıcı: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Bu sonucu beklenen değil. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Beklendiği gibi bu girişimleri başarısız.

  • Örnek 2

    Önceki oturum açma bir parola kullanarak yapılmışsa, AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu için Masaüstü erişim belirteci yok. Aşağıdaki sonuçlar ortaya çıkar:

    • Bir kullanıcı adı ve parola kullanarak oturum: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarısız.

    • Akıllı kart kullanarak oturum açan kullanıcı: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Kullanıcı, ağ kaynaklarına erişmeyi dener. Bu girişimler başarılı. Bu sonuç, müşteriler tarafından beklenen değil. Bu nedenle, erişim denetimi sorunları olur.

Sorun Senaryo 2 (Kilitle/Kilidini Aç)

Aşağıdaki senaryoyu düşünün:

  • Yönetici (SC) akıllı kart oturum açma kimlik doğrulaması kullanıcıların belirli güvenlik açısından duyarlı kaynaklara erişirken zorlamak istiyor. Bunu yapmak için kullanılan akıllı kart sertifikaları verme ilkesi nesne tanımlayıcısı için Windows Server 2008 R2 adım adım Kılavuzu'nda AD DS için kimlik doğrulama mekanizması güvencesi göre AMA yönetici dağıtır.

  • "Etkileşimli oturum açma: Akıllı kart gerektir" ilkesi istasyonlarında etkin değildir. Bu nedenle, kullanıcılar kullanıcı adı ve parola gibi diğer kimlik bilgilerini kullanarak oturum açabilir.

  • Yerel ve ağ kaynağı erişimi gerektirir Akıllı Kart evrensel bir güvenlik grubu.

Bu senaryoda, akıllı kartlar kullanarak imzalar bir kullanıcı yerel erişim ve ağ kaynaklarını beklersiniz. Ancak, oturum açma sırasında kullanıcının masaüstü için erişim belirteci oluşturulur çünkü onu değiştirilmez.



Senaryo örnekleri

  • Örnek 1

    Masaüstü için erişim belirteci AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu varsa, aşağıdaki sonuçlar biri oluşur:

    • Kullanıcı akıllı kart kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarılı.

    • Kullanıcı kullanıcı adı ve parola kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Bu sonucu beklenen değil. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarısız.

  • Örnek 2

    Masaüstü için erişim belirteci AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu yoksa, aşağıdaki sonuçlar biri oluşur:

    • Kullanıcı, kullanıcı adı ve parola kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarısız.

    • Kullanıcı akıllı kart kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Bu sonucu beklenen değil. Kullanıcı, ağ kaynaklarına erişmeyi dener. Beklendiği gibi bu girişimler başarılı.

Daha fazla bilgi

"Belirtiler" bölümünde açıklanan AMA ve güvenlik alt sistemi tasarımı nedeniyle, kullanıcılar aşağıdaki senaryolarda, AMA etkileşimli oturum açma türünü güvenle tanımlayamıyor yaşarsınız.

Logon/logoff

Hızlı oturum açma en iyi duruma getirme etkin değilse, yerel güvenlik alt sistemi (lsass) grup üyeliği oturum açma belirteç üretmek için yerel önbelleği kullanır. Bunu yaptığınızda, etki alanı denetleyicisi (DC) ile iletişimin gerekli deðildir. Bu nedenle, oturum açma süresi azalır. Bu önemle tavsiye ettiği bir özelliktir.

Ancak, bu durum aşağıdaki sorun neden olur: SC sonra oturum açma ve oturum kapatma SC, yerel olarak önbelleğe alınmış AMA grubudur, yanlış, sonra kullanıcı adı/parola etkileşimli oturum açma kullanıcı simgesi hala mevcut.

Notlar

  • Bu durum, yalnızca etkileşimli oturum açmaları için geçerlidir.

  • AMA grup diğer grupları aynı mantığı kullanarak ve aynı şekilde önbelleğe alınır.


Bu durumda, kullanıcı daha sonra ağ kaynaklarına erişmeye çalışırsa, kaynak tarafında önbelleğe alınan grup üyeliği kullanılmaz ve kullanıcının oturum açma oturumu kaynak tarafında AMA grubunu içermez.

Bu sorunu hızlı oturum açma en iyileştirmeyi devre dışı bırakarak sabit ("bilgisayar yapılandırması > Yönetim Şablonları > Sistem > oturum açma > ağ bilgisayar açılışında ve oturum açmada her zaman bekle").

Önemli: Bu davranış, yalnızca etkileşimli oturum açma senaryoda ilgilidir. Ağ kaynaklarına erişim için oturum açma en iyileştirmeyi gerek yoktur çünkü beklendiği gibi çalışır. Bu nedenle, önbelleğe alınan grup üyeliği kullanýlmaz. En yeni AMA grup üyeliği bilgileri kullanarak yeni bir anahtar oluşturmak için DC kurulur.

Lock/unlock

Aşağıdaki senaryoyu düşünün:

  • Bir kullanıcı akıllı kart kullanarak etkileşimli olarak oturum açan ve AMA korumalı ağ kaynaklarına açar.

    Not: AMA korumalı ağ kaynakları olabilir AMA grup kendi erişim simgesinde yalnızca kullanıcılar erişilir.

  • Kullanıcı daha önce açılmış AMA korumalı ağ kaynağı kapatmadan bilgisayarınızı kilitler.

  • Kullanıcıyı bilgisayarın kullanıcı adı ve daha önce bir akıllı kart kullanarak oturum açan kullanıcının parolasını kullanarak kilidini açar).

Bilgisayar kilidi açıldıktan sonra bu senaryoda, kullanıcı AMA korunan kaynaklara erişmeye devam edebilirsiniz. Bu davranış normaldir. Bilgisayarın kilidi açıldığında, Windows, ağ kaynaklarına sahip olduğu tüm açık oturumları yeniden oluşturmaz. Windows grup üyeliği de yeniden değil. Bu eylemleri kabul edilemez performans yaptırımlara neden olmasıdır.

Bu senaryo için out-of-box çözümü yoktur. SC oturum açma sonra kullanıcı adı/parola sağlayıcısı filtreleri bir kimlik bilgisi sağlayıcısı filtre oluşturmak için bir çözüm olabilir ve kilit adımlar gerçekleşir. Kimlik bilgisi sağlayıcısı hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:

ICredentialProviderFilter arabirimi

Windows Vista kimlik bilgisi sağlayıcısı örnekleriNot: Bu yaklaşım her zamankinden başarıyla uygulanmadı olup olmadığını onaylamak olamaz.

AMA hakkında daha fazla bilgi

AMA tanımlamak ne zorla etkileşimli oturum açma türü (akıllı kart veya kullanıcı adı/parola). Bu davranış normaldir.

AMA ağ kaynaklarına akıllı kart isteğe bağlı senaryoları için amaçlanmıştır. Bu yerel erişim için kullanılması düşünülen değil.

Dinamik bir grup olarak tanıtıcı AMA gruplarına veya dinamik grup üyeliği kullanma yeteneği gibi yeni özellikler sunarak bu sorunu gidermek giriþimleri önemli sorunlara neden olabilir. Dinamik grup üyeliklerini NT belirteçlerini desteklemeyen nedeni budur. Sistem içinde gerçek kesileceği grupları izin veriliyorsa, kullanıcılar kendi Masaüstü ve uygulamalarla etkileşim kurma engellenebilir. Bu nedenle, grup üyeliklerini oturumun oluşturulduğu sırada kilitli ve oturum boyunca korunur.

Önbelleğe alınan oturum açmaları da sorunlara neden olmaktadır. En iyi duruma getirilmiş bir oturum açma etkinleştirildiğinde, ağ turda çağırır önce lsass önce yerel bir önbellek dener. Kullanıcı adı ve parola ne lsass (Bu birçok oturum açmaları için geçerlidir) önceki oturum açma kullanıcısı için gördüğünüz için aynıysa, lsass kullanıcı önceden sahip olan aynı grup üyelikleri olan bir belirteci oluşturur.

En iyi duruma getirilmiş bir oturum açma devre dışı bırakılırsa, ağ gidiş dönüş gerekli olacaktır. Bu grup üyeliklerini oturum açma sırasında beklendiği gibi çalıştığından emin olunmasını sağlar.

Önbelleğe alınmış oturum açma kullanıcı her bir giriş lsass tutar. Bu girdi, kullanıcının önceki Grup üyeliğini içerir. Bu son parola veya akıllı kart kimlik bilgisi lsass gördüğünüz tarafından korunmaktadır. Her ikisi de aynı simge ve kimlik anahtarını sarmalanmış. Kullanıcıların eski kimlik bilgisi anahtarı'nı kullanarak oturum açmayı denediğinizde olsaydı, DPAPI veri, EFS korumalı içerik ve benzeri kaybeder. Bu nedenle, önbelleğe alınmış oturum açma en son yerel grup üyelikleri, oturum açmak için kullanılan mekanizma ne olursa olsun her zaman üretir.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×